Lexique IT
Transfert de données
La notion de transfert de données fait plus spécifiquement référence à celle de transfert de données à caractère personnel hors de l’Union européenne.
Un transfert de données est constitué par la transmission, ou la mise à disposition, de données à caractère personnel par une entité sujette au RGPD à une entité située dans un pays tiers à l’Union européenne, ou à une organisation internationale.
Pour que le transfert soit qualifié de tel par le RGPD, l’exportateur des données doit obligatoirement être sujet au RGPD, qu’il soit ou non établi sur le territoire de l’Union européenne.
Toutefois, ne sera pas considéré comme un transfert de données au sens du RGPD, la transmission volontaire et de sa propre initiative de données à caractère personnel par la personne concernée directement à une entité située hors de l’Union européenne.
En effet, l’exportateur des données est nécessairement un responsable du traitement ou un sous-traitant. Il en est de même de l’importateur des données.
Ainsi l’accès depuis un pays tiers à l’Union européenne par une seule et même entité (par exemple lors d’un déplacement professionnel du dirigeant à l’étranger) ne constitue pas strico sensu un transfert de données à caractère personnel.
En tout état de cause, tout transfert de données doit obligatoirement être accompagné de garanties suffisantes pour les droits et libertés des personnes concernées.
Ils peuvent alors être fondés sur :
- Une décision d’adéquation rendue par la Commission européenne ;
- Des clauses contractuelles types de la Commission européenne, ou adoptées par une autorité de contrôle et approuvées par la Commission européenne ;
- Des règles internes d’entreprises ;
- Un code conduite approuvé comportant l’engagement contraignant et exécutoire pris par les importateurs d’appliquer les garanties appropriées ;
- Un mécanisme de certification approuvé comportant l’engagement contraignant et exécutoire pris par les importateurs d’appliquer les garanties appropriées ;
- Un arrangement administratif ou un texte contraignant et exécutoire pris pour permettre la coopération entre autorités publiques.
Point RGPD
« Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale.»
Article 44 du RGPD
Point jurisprudence
La Cour de Justice de l’Union Européenne (CJUE) a invalidé le Privacy Shield en indiquant notamment que:
« le droit de ce pays tiers ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa règlementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences. »
CJUE, Data Protection Commissioner c. Facebook Ireland Ltd et Maximillian Schrems, 16 juillet 2020, N° C-311/18
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.